Это не то место, где вы ожидаете найти вирусы и вредоносное ПО.

Вредоносное ПО и вирусы представляют огромную угрозу для информации и данных, принадлежащих финансовым организациям, таким как ваш доверенный банк. Десятки миллиардов долларов ежегодно тратятся этими финансовыми компаниями на защиту своих бесценных данных от коррупции и кражи со стороны кибератак (или просто на восстановление после них), но тем не менее банки по всему миру каждый день хакеры грабят миллионы долларов. Существуют также высокие административные затраты на реализацию политики, направленной на борьбу с этими проблемами. Тем не менее, это сложное решение для финансовых компаний, которые сталкиваются с финансовыми проблемами, вкладывать средства в обнаружение и предотвращение вредоносных программ. Это тем более верно, когда речь идет о низких бюджетах на информационную безопасность финансовых учреждений и банков, расположенных в странах третьего мира с трудной экономикой. Тем не менее, крайне иронично, что банки и другие финансовые учреждения очень плохо поддерживают стандарты кибербезопасности в таких странах из-за нехватки средств и отсутствия современных технических знаний и опыта у высшего руководства корпоративного сектора в этих бедных странах.

Фон

Я осознал важность кибербезопасности для таких учреждений, когда мне представилась уникальная возможность работать в ИТ-консалтинговой компании над проектом южноазиатского банка с финансовыми трудностями, который находился в процессе приобретения банк из богатой зарубежной страны. В более бедном банке была компьютерная сеть, основанная на рабочей группе Microsoft, которая представляла собой децентрализованную среду. Принимавший управление банк требовал, чтобы эта децентрализованная система была переведена в централизованную более масштабируемую инфраструктуру домена Microsoft Active Directory. Этот проект был поручен местной ИТ-консалтинговой фирме, в которой я работал. Когда мы инициировали проект, группа ИТ-консультантов была отправлена на места банков для проведения опроса, составления отчета об исследовании и представления его высшему руководству ИТ-консалтинговой фирмы.

Аудит банка

Дата-центр банка располагался в его головном офисе. Ситуация внутри банка была далека от идеальной. После тестирования компьютеров мы начали обнаруживать аномальное поведение клиентских компьютеров, такое как медленная обработка и отсутствие реакции операционных систем на машинах. После дополнительной проверки и запуска антивирусного программного обеспечения стало ясно, что большинство компьютеров заражено вредоносным ПО.

Какая? Да, вы правильно прочитали. В банке. (К счастью, не в вашем банке.)

В сети банка пользователи могли свободно скачивать что угодно из Интернета. Они также могли копировать информацию любого типа с различных типов носителей, таких как флэш-накопители, компакт-диски и DVD-диски, на жесткие диски своих офисных рабочих станций. Не существовало системы защиты сети от такого болезненного поведения пользователей в банке. Именно эта свобода стала причиной мощного заражения банковской сети вредоносным ПО.

Отсутствие элементарных практик безопасности приводило к тому, что компьютерная сеть была открыта для угроз со стороны внутренних и внешних вредоносных программ. В группе технической поддержки было недостаточное количество работников, и они не были должным образом обучены или мотивированы из-за финансового положения банка, несмотря на то, что люди доверяли банку свои деньги. Администрирование сети также было некачественным, так как не было централизованного контроля над решением вопросов безопасности.

В банке уже было установлено программное обеспечение для защиты от вредоносных программ — должно быть, в прошлом это было проблемой для них, если они принимали незначительные меры, — но этого было недостаточно для полной защиты сети. Когда были проверены устройства в центре обработки данных банка, было обнаружено, что в сети есть брандмауэр, но устройства, которые считались чрезвычайно важными для безопасности финансового учреждения, такого как банк, отсутствовали. Отсутствие таких жизненно важных устройств, как системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), подвергало банковскую сеть внутренним и внешним угрозам безопасности. Конечно, у этого банка была очень серьезная ситуация с безопасностью, и всю серьезность угрозы еще нужно было должным образом оценить.

На стороне сервера контроллер домена работал на Windows 2003 и был развернут специально для сервера Microsoft Exchange 2007. Этот почтовый сервер работал под управлением Windows 2003. Пользователи сети банка имели два отдельных набора учетных данных. Пользователи использовали один набор учетных данных для входа на свои рабочие станции рабочей группы, а другой набор учетных данных — для входа в Outlook для обработки своей электронной почты.

Когда мы использовали специальное обновленное программное обеспечение для защиты от вредоносных программ, во время тщательного сканирования мы обнаружили на сервере Microsoft Exchange 2007 вредоносное ПО худшего типа. Было очевидно, что серверы в сети находились под тревожным уровнем вредоносного ПО. База данных Oracle также была установлена на Windows Server 2003, но, к счастью, не была заражена.

Пользователи банка также жаловались на спам, попавший в их почтовые ящики. Было обнаружено, что Microsoft ISA 2004 заражен и распространяет вредоносное ПО по сети.

Не было никаких сомнений в том, что угрозы вредоносного ПО для Microsoft Exchange Server 2007 и Microsoft ISA 2004 необходимо было нейтрализовать, чтобы предотвратить заражение вирусами остальной части сети. О безопасности серверов нужно было позаботиться раньше, чем о клиентских машинах.

В качестве консультантов мы подготовили аудиторский отчет, основанный на проблемах безопасности сети в банке, и представили его руководству нашей консалтинговой фирмы. Была организована встреча с высшим руководством ИТ-отдела банка и другими заинтересованными сторонами. Серьезность угроз безопасности компьютерной сети в банке была на повестке дня. Моя консалтинговая фирма ясно дала понять, что, прежде чем предпринимать какие-либо шаги по переносу сети банка из рабочей группы в централизованный домен Microsoft Active Directory, сеть банка должна быть защищена.

Безопасность прежде всего

Моя консалтинговая компания предложила разделить работу в банке на два разных проекта.
Первый проект был направлен на усиление безопасности банковской сети.

Второй проект заключался в переносе модели отдельной рабочей группы в модель домена Microsoft Active Directory, а клиентские машины должны были быть присоединены к новому домену после устранения всех технических препятствий, которые должны были возникнуть.
Моя консалтинговая компания делала акцент на том, что банковская сеть должна быть стабилизирована путем удаления вредоносных программ и вирусов, а безопасность сети должна быть усилена до начала любого другого проекта, касающегося банковской сети. Поэтому проект миграции рабочей группы в домен Microsoft Active Directory пришлось на время отложить.

Повышение безопасности

Команда консультантов получила разрешение на запуск первого проекта по обеспечению безопасности банковской сети. Этот проект был направлен на усиление сетевой безопасности, инициализированной с серверов в банке. Основная цель состояла в том, чтобы сделать свежие резервные копии серверов и выполнить тщательное сканирование для обнаружения и устранения опасных вредоносных программ после установки более сложного антивирусного программного обеспечения для очистки банковских серверов и повышения их безопасности. Этот процесс для сервера ISA прошел гладко, но сервер электронной почты, Microsoft Exchange 2007, начал показывать ошибки высокой степени серьезности, которые требовали стабилизации посредством множества исправлений программного обеспечения наряду с нейтрализацией угрозы вредоносного ПО.

Чтобы устранить эти ошибки Exchange, было предложено выделить вечерние часы непиковой нагрузки, чтобы избежать проблем с доставкой электронной почты в рабочее время. Сервер был перезагружен в безопасном режиме, и серверное программное обеспечение Microsoft Exchange 2007 было восстановлено. После этого он был тщательно просканирован на наличие вредоносных программ с помощью GFI MailEssentials, программного обеспечения для защиты от вредоносных программ и спама, специально разработанного для Microsoft Exchange Server.

У банка была огромная сеть примерно из 400-500 компьютеров на разных сайтах. Безопасность этих компьютеров также должна была быть рассмотрена в этом проекте. Защита клиентских компьютеров ускорилась после того, как все серверы были защищены. Для выполнения этого этапа требовалось больше рабочей силы, так как каждую отдельную машину нужно было очищать вручную, поэтому консалтинговая компания наняла молодых ИТ-специалистов на контрактной основе через стажировку, чтобы помочь с задачами по удалению вредоносных программ на клиентских машинах. После того, как эти стажеры прошли надлежащее обучение, был достигнут больший прогресс в уничтожении вредоносных программ на клиентской стороне сети банка. Мы также развернули сетевое вредоносное ПО EMCO в банковской сети для удаленного решения проблем безопасности в случае, если мы потребуются после того, как наше время на месте прошло. Таким образом, банк избавился от самых смертельных угроз безопасности. В конце этого проекта были даны рекомендации по приобретению таких ресурсов, как обученный персонал, оборудование для обеспечения безопасности и программное обеспечение для защиты ИТ-инфраструктуры банка для борьбы с будущими угрозами для банковской сети.

Это был интересный опыт, из которого можно сделать вывод, что информационная безопасность крайне важна, и игнорирование ее важности может привести организации к огромным убыткам и даже к банкротству. В еще большей степени это относится к финансовым учреждениям. Я лично могу предположить, что банк был приобретен потому, что многое из того, что можно было автоматизировать, было обработано вручную, и люди никогда не смогут распознать все огромное разнообразие угроз безопасности. Это, в свою очередь, привело к отставанию банка в производительности, что привело к потере доли рынка в высококонкурентной бизнес-среде. По-видимому, это повлекло за собой денежные потери, что также способствовало отсутствию надлежащей информационной безопасности компьютерной сети. Все эти факторы неблагоприятно привели к банкротству банка и его конечному приобретению.